du 09 septembre 2019
Date

Choisir une autre édition

La conservation généralisée des données de connexion devant la justice européenne

Trois affaires importantes sont audiencées aujourd’hui à partir de 9h30 devant la Cour de justice de l’Union européenne. La grande chambre de la juridiction examinera d’abord l’affaire « C-623-17 Privacy International ». 

L’ONG s’oppose aux autorités britanniques « au sujet de la légalité des activités de collecte et de conservation de données utilisées par ou pour ces derniers ». Le nerf de cette procédure ? La collecte indiscriminée de données afin d’aiguiser la connaissance des services de renseignement. 

« Le MI5 et le MI6 peuvent interroger directement les données [relatives au trafic et à la localisation] afin de trouver des informations sur des personnes présentant un intérêt pour le renseignement », résument les services de la cour. Pour Privacy International, ces opérations de collecte et de traitement « sont contraires au droit de l’Union ». 

Dans les affaires jointes « C-511/18 La Quadrature du Net » et « C-512/18 French Data Network », les deux organisations s’opposent cette fois à certains pouvoirs des services du renseignement français. 

Quatre décrets ont d’abord été attaqués devant le Conseil d’État, tous impliquant la loi Renseignement de 2015. Dans les grandes lignes, ils visent les modalités de désignation des services spécialisés de renseignement, la procédure contentieuse, les services ministériels pouvant être autorisés à recourir aux techniques de recueil et enfin les missions du groupement interministériel de contrôle. 

Plus largement, ces deux procédures visent à demander si l’obligation de conservation généralisée des données de connexion est justifiée sur l’autel du droit européen.  Enfin, dans l’affaire C-520/18 dite « Ordre des barreaux francophones et germanophones », c’est cette fois le droit belge qui est visé. 

« La loi belge de 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques est-elle conforme au droit de l’Union ? » indique un communiqué de la CJUE. 

Derrière, quatre actions ont été menées. Dans la première affaire, l’Ordre des barreaux francophones et germanophones estime que la loi ne peut traiter identiquement les utilisateurs soumis au secret professionnel des avocats.

Dans la deuxième, « un professionnel actif dans le domaine de la fiscalité et une organisation assurant les intérêts de l’ensemble des professionnels comptables, juridiques et fiscaux, allèguent que la loi ne prend pas en compte le caractère fondamental du secret professionnel auquel ils sont soumis ».

Dans la troisième affaire, il est reproché à la loi d’obliger les intermédiaires à conserver (comme en France) les données de connexion durant un an, que les personnes soient suspectes ou non. 

Dans la quatrième affaire enfin, plusieurs personnes physiques considèrent que cette même législation est contraire à la charte des droits fondamentaux de l’Union européenne et à la directive vie privée et communications électroniques de 2002.

Les arrêts ne seront rendus que dans plusieurs mois. Derrière, c’est tout l’édifice de la surveillance en Europe qui pourrait trembler. 

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Facebook était le seul des GAFAM à ne pas avoir été inquiété jusqu’ici par des histoires d’écoutes humaines sur des enregistrements audios captés depuis les enceintes connectées. La boucle est maintenant bouclée.

Bloomberg avait déjà prévenu en août que des tiers travaillant pour Facebook avaient écouté et transcrit des conversations obtenues via la fonction d’appel de Messenger. Le réseau social a depuis confirmé qu’il faisait de même avec les enceintes connectées Portal.

L’information a été donnée par Andrew Bosworth, directeur de la branche matérielle chez Facebook : « Nous avons mis en pause les évaluations humaines des interactions vocales "Hey Portal" le mois dernier, pendant que nous travaillions sur un plan pour donner aux gens plus de transparence et de contrôle, dont un moyen de l’éteindre ».

Le responsable précise que les processus d’évaluation, d’analyse et de transcriptions n’étaient pas les mêmes que ceux de Messenger, eux aussi à l’arrêt.

Le problème pour Facebook est le même que pour Apple, Amazon, Google et Microsoft : les conditions d’utilisation ne mentionnent nulle part que des personnes tierces peuvent être amenées à écouter des morceaux de conversations privées.

Pas de chance pour le réseau social, qui lance justement… de nouveaux produits Portal, en plus d’une révision de la gamme existante. 

Aux côtés notamment d’une version modernisée de la Portal 10 pouces, on trouve désormais une variante Mini, avec un écran de 8 pouces. Facebook a également présenté sa Portal TV, une set-top box se servant de la télé comme écran.

L’objectif général de la gamme Portal n’a pas changé : la vidéoconférence avec les contacts Facebook. Ces produits embarquent des caméras capables – dans une certaine mesure – de suivre votre visage si vous faites autre chose en même temps, avec des fonctions d’amplification vocale.

Les nouveaux produits ne font que compléter l’offre existante, afin que les intéressés aient différentes tailles d’écran, en plus des moutures de 10 et 15,6 pouces qui existaient déjà, et dont les prix passent respectivement à 179 et 279 dollars (baisses de 20 et 70 dollars). Les modèles Mini et TV sont, eux, vendus 129 et 149 dollars.

Notez que même si ces produits sont tous commercialisés en France, les fonctions liées à Hey Portal ne sont disponibles qu'en anglais.

Facebook jure sur ses grands dieux que les appareils sont désormais tournés entièrement vers la vie privée. Les caméras et micros sont désactivés par défaut, et les appareils n’analysent ni n’enregistrent les conversations. Les appels sont chiffrés et les opérations de machine learning effectués pour améliorer la qualité audio ou vidéo sont effectuées sur l’appareil, pas sur les serveurs de Facebook.

Ce sont du moins les promesses de Facebook, face à une déferlante de problèmes liés à la vie privée depuis le scandale initial de Cambridge/Analytica. La stratégie de l’entreprise repose sur la confiance des utilisateurs dans ses services et l’ubiquité de ses produits et services. Face à une confiance ébranlée et une compétition féroce sur ce créneau, la société n’est pas au bout de ses peines.

Copié dans le presse-papier !

Le nouveau service fait exactement ce que son nom suggère : il crée des endpoints privés pour des services partagés. Ces derniers deviennent alors accessibles via une adresse IP locale depuis Azure ou un réseau sur site, via un VPN ou Azure ExpressRoute.

Azure Private Link fonctionne sur la base d’Azure Virtual Network (VNet), mais en fournissant une adresse IP privée. Après quoi un endpoint peut être paramétré pour un service comme Storage ou SQL Database.

Une adresse IP lui est alors assignée et deviendra accessible depuis VNet ou les installations sur site. Les éditeurs tiers peuvent également proposer des services via des Private Links.

Microsoft rappelle qu’il est déjà possible de créer des endpoints pour VNet. Les Private Links reprennent l’avantage principale de ces derniers – les derniers ne sortent pas d’Azure ou du réseau de l’entreprise – mais permettent en plus de manipuler des IP privées (publiques dans le cas de VNet).

Pour l’instant, le service n’est disponible qu’en préversion et ne fonctionne qu’avec Storage et SQL Database. La version finale prendra en charge une liste nettement plus importante, dont Cosmos DB, MySQL, PostgreSQL, MariaDB, Azure Application Service, Key Vault et Snowflake.

Le tarif est de 0,005 dollar par heure, auquel s’additionne 0,005 dollar par Go transféré dans un sens ou dans l’autre. Attention, la préversion ne possède pas de SLA (service level agreement) et n’est donc pas recommandée en environnement de production.

Copié dans le presse-papier !

Le géant du Net revoit son offre, avec une baisse de 10 dollars à la clé. Cela fait maintenant plus de quatre ans que Projet Fi (qui est ensuite devenu Google Fi) a été lancé. 

Début 2018, un forfait « illimité » à 80 dollars par mois est arrivé. Il s'agissait surtout d'une limite de facturation, via un « fair use » (débit réduit au-delà d'une certaine limite).

Le nouveau « Unlimited » est désormais à 70 dollars par mois (hors taxes, comme toujours chez Google), avec 22 Go de data (débit réduit ensuite) y compris en roaming. Les appels et SMS sont toujours illimités vers de nombreux pays.

Ce n'est pas tout : 100 go de stockage sur Google One sont compris dans le prix (normalement facturés 1,99 euro par mois). 

L'offre de base à 20 dollars par mois est toujours disponible, avec 10 dollars par Go consommé, dans la limite de 80 dollars par mois. 

Copié dans le presse-papier !

Dans la lignée des déclarations de son président et cofondateur Mark Zuckerberg, le réseau social a mis en ligne la charte de son comité de surveillance indépendant, une « cour suprême » maison selon Zuckerberg.

Dans un communiqué, ce dernier explique que « si quelqu'un désapprouve une de nos décisions, il pourra d'abord s'adresser à nous et bientôt [à partir du premier semestre 2020, ndlr] aussi faire appel au comité indépendant ». Mark Zuckerberg veut en faire un organe de décision fort : « La décision du comité sera contraignante, même si moi ou quelqu'un chez Facebook n'est pas d'accord ».

Les 40 membres du conseil ne devront avoir aucun conflit d'intérêts avec Facebook et ses employés, de près ou de loin. Le processus de sélection des membres est décrit par ici. Facebook choisira les premiers noms, qui en sélectionneront à leur tour d'autres pour arriver à 40. Ils seront payés par une « fondation » qui disposera d'un budget de « plusieurs millions de dollars » provenant de Facebook. 

Mark Zuckerberg continue son envolée lyrique : « Le conseil sera le défenseur de la communauté, soutenant le droit des personnes à la liberté d’expression et veillant à ce que nous nous acquittions de notre responsabilité de les protéger ».

Il s'agit de la dernière étape du réseau social pour tenter de redorer son blason auprès de ses utilisateurs, largement échaudés par ses pratiques des dernières années. Reste maintenant à voir les décisions qui seront prises et si cela suffira à redonner un peu de confiance.

Enfin, Facebook compte ouvrir son comité à d'autres réseaux sociaux, sans plus de précision. 

Copié dans le presse-papier !

Depuis le 16 septembre, tout nouvel appareil enregistré dans une organisation cliente de la G Suite reçoit un nouveau composant baptisé Android Device Policy, remplaçant l’ancien Google Apps Device Policy. Ce client est relié à l’Android Management API, neuve elle aussi.

L’éditeur précise que les fonctionnalités sont globalement les mêmes, mais que le processus gagne en souplesse, avec moins d’étapes de configuration côté utilisateur et moins d’applications à gérer pour les administrateurs. Google évoque pour sa part des mises à jour plus simples à déployer.

Les entreprises concernées seront prévenues environ trois semaines avant que le changement ne touche leurs domaines.